权限代码业务逻辑代码不分离会造成形式结构的阅读冗余混乱。spring security是spring的安全框架。实现不影响原有业务逻辑代码的前提下，使用filter(拦截web请求)保护资源层级。实现使用spring aop权限控制方法层级。

spring security是基于spring、springMvc的申明式安全框架。该框架充分使用了spring ioc、spring aop
、spring filter。该框架实现了web请求和方法调用的验证与授权。

spring security框架可以使用的加密算法与对应加密类

spring security 使用spring aop权限控制方法调用。一般有三种使用方式:
使用标签<intercept-methods> (对应xml)
使用切点<protect-pointcut> (对应方法)
使用注解如注解或jsr-250注解 (对应类、方法)

AuthenticationManager
AccessDecisionManager
SecurityMetadataSource

controller写一个测试接口, 跳转相关url, 如果添加了spring security依赖，则自动首先跳转登录页面。该页面由spring security框架内嵌. 默认的用户名是user,默认的登录密码见启动日志.

在Spring Security中，通常会使用JWT（JSON Web Token）进行身份验证和授权。登录请求会返回一个包含JWT的token，之后在别的请求中需要在Headers中添加Authorization字段，并将token值加上Bearer前缀，如：Authorization: Bearer <token值>。

postman 如何登录spring security
https://www.cnblogs.com/yangzhixue/p/12269160.html
https://cloud.tencent.com.cn/developer/ask/sof/106313460

参考:
https://zhuanlan.zhihu.com/p/559072121